De hittills högsta sanktionsavgifterna under GDPR kommer troligtvis att utdömas av motsvarande Datainspektionen i Storbritannien, ICO. Det är British Airways och Marriott International Inc som ICO efter omfattande granskningar avser påföra administrativa sanktionsavgifter om drygt 183 miljoner pund (motsvarar över 2 miljarder svenska kronor), respektive
99 miljoner pund (motsvarar över 1 miljarder svenska kronor).

Det brittiska flygbolaget British Airways hade i september 2018 en personuppgiftsincident som bland annat innebar att besökare till företagets hemsida omdirigerades till en falsk hemsida. Angriparna som skapat den falska hemsidan kunde därigenom komma åt runt 500 000 kunders personuppgifter. Det var personuppgifter som inloggningsuppgifter, namn, adress, betalkortsuppgifter och bokningsdetaljer och de drabbade kunderna är personer i flera av EU-länderna.

Koncernen Marriott International, Inc. i hotell- och restaurangbranschen kunde också rapportera om en personuppgiftsincident i november 2018. Det var fråga om runt 30 miljoner drabbade personer inom EU som fick sina kunduppgifter läckta till obehöriga och incidenten har sin början under 2014 då hotellkedjan Starwood utsattes för ett intrång. Starwood förvärvades två år senare av Marriott och intrånget var då fortfarande inte åtgärdat, men Marriott menar att läckaget upptäcktes först när incidenten rapporterades i november 2018. ICO har uttalat att personuppgiftsansvaret medför krav om att genomföra due diligence inför företagsförvärv som även beaktar personuppgifts­aspekterna och att det säkerställs att personuppgifter, även i nyförvärvade bolag, omfattas av tillräckliga skyddsåtgärder. Innan slutligt beslut om sanktionsavgifterna ska ICO inhämta yttranden från både bolagen och andra tillsynsmyndigheter i EU, vilket innebär att sanktionsavgifterna inte ut-dömts ännu och kan komma att ändras.

Den administrativa sanktionsavgiften som företag och organisationer kan påföras vid överträdelse av dataskyddsförordningen kan, beroende av vilket som är högst, uppgå till 20 miljoner euro eller fyra procent av bolagets globala årsomsättning. Bestämmandet av sanktionsavgiften beror dels på vilken regel som överträdelsen avser, dels allvarligheten i överträdelsen. I Sverige har dock sedan ikraftträdandet av GDPR Datainspektionen ännu inte utfärdat någon administrativ sanktionsavgift.

 

Tidigare publicerat i Affärsstaden 07 – 2019

Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB

Jessica Tornberg

Tillbaka till krönikor